[caiu] RES: RES: ATAQUE
Andrio Prestes Jasper
mascaraapj em gmail.com
Sábado Março 1 18:20:49 BRT 2014
Diego, o mesmo aconteceu conosco.
Resolvemos bloquear toda as portas de entrada menor que 1024.
Liberamos apenas com destino especificos a IP da nossa rede.
Você saberia me dizer os IPs usados pelo NTP time.windows???
Do ntp.br sei que os servidores deles ficam dentro da faixa 200.160.0.0/20
Em 1 de março de 2014 17:42, Diego Canton - Suporte Ensite <
diegocanton em ensite.com.br> escreveu:
> É um ataque de amplificação com abuso de um comando vulnerável do NTP , se
> o
> servidor não receber os pacotes maliciosos que irão iniciar o tráfego o
> problema não ocorre.
>
> Estavamos bloqueando nos roteadores que realizam o PPPoE, porém
> equipamentos
> que estavam fora foram atacados, como clientes com ASN próprios e
> roteadores, achamos por melhor bloquear no roteador de borda e o problema
> foi sanado, porém nada de pacote NTP passa para nossa rede, a não ser do
> NTP.Br e Timeswindows.
>
> E sim, já observamos clientes que receberam ataques consumindo toda banda
> alocada e que ficam sob ataque por horas; O primeiro caso que identifiquei
> orientei o cliente a criar regras de firewall em sua rede para proteger
> seus
> servidores, era um Datacenter no interior. O cliente atualizou os
> servidores
> NTP e realizou o bloqueio da porta UDP 123, isso resolveu. Após algum tempo
> notamos outros clientes recebendo ataques, sempre a banda usada limitava-se
> ao plano assinado, até que recentemente recebemos ataques nos servidores
> Mikrotik, nesses equipamentos não temos controle do NTP, e sim,
> lamentavelmente a banda consumida foi impressionante, quando bloqueamos nas
> bordas o problema desapareceu.
>
> Temos notado ataques frequentes a 123 e 53
>
> Att,
> _______________________________________________________________________
>
>
> -----Mensagem original-----
> De: caiu-bounces em eng.registro.br [mailto:caiu-bounces em eng.registro.br] Em
> nome de Lista
> Enviada em: sábado, 1 de março de 2014 16:17
> Para: Lista das indisponibilidades da Internet brasileira
> Assunto: Re: [caiu] RES: ATAQUE
>
> Pergunta. Param de sofrer o ataque ou apenas não está passando para a rede?
>
> Estou meio curioso, pq geralmente ataque desse tipo demora para se
> interromper, então a unica coisa que observo é que se você não está fazendo
> nada para que isso pare na operadora ou nas "bordas" dela e somente subiu
> regra de firewall em sua borda, eu presumo que o trafego ainda esteja
> ocupando seu link desnecessario.
>
>
>
> Em 1 de março de 2014 09:35, Andrio Prestes Jasper
> <mascaraapj em gmail.com>escreveu:
>
> > algumas semanas atras sofremos algo parecido.
> > estava consumindo todo nosso link e metade do upload.
> >
> > depois que bloqueamos todas as portas abaixo de 1024, salvo algumas
> > exceções (de porta ou para serviço interno), paramos de sofrer com
> isso...
> >
> >
> >
> > Em 28 de fevereiro de 2014 18:29, Giovane - Lancert
> > <ggr em lancert.com.br>escreveu:
> >
> > > Começou la fora, pode estar sendo direcionado para o Brasil agora....
> > >
> > > http://www.itnews.com.au/News/372033,worlds-largest-ddos-
> > > strikes-us-europe.aspx
> > >
> > > http://www.us-cert.gov/ncas/alerts/TA14-013A
> > >
> > >
> > > Giovane Grunhauser
> > > Analista de Suporte
> > > ggr em lancert.com.br
> > > Lancert Certificação, Projetos e Gestão de Redes
> > >
> > >
> > > -----Mensagem Original----- From: Manoel Damaceno Souza Neto
> > > Sent: Friday, February 28, 2014 5:58 PM
> > > To: Lista das indisponibilidades da Internet brasileira
> > > Subject: Re: [caiu] RES: ATAQUE
> > >
> > >
> > > Tive hoje tambem, 100mb ntp. Alguem sabe o que esta ocorrendo?
> > >
> > > From: diegocanton em ensite.com.br
> > >> To: caiu em eng.registro.br
> > >> Date: Fri, 28 Feb 2014 14:33:06 -0300
> > >> Subject: [caiu] RES: ATAQUE
> > >>
> > >> Temos recebido muitos ataques na porta UDP 123 (NTP), hoje tivemos
> > trafego
> > >> superior a 600 Mbps em nosso transporte principal.
> > >> Estamos aplicando bloqueio a porta UDP 123, liberando apenas para
> > >> os
> > IP's
> > >> da
> > >> ntp.br e time.windows.com
> > >>
> > >> O ataque hoje chegou inicialmente pela Vivo, bloqueado no roteador
> > ligado
> > >> a
> > >> esse transito, imediatamente tivemos a entrada pelo transito
> > >> principal
> > da
> > >> Algar, chegando a cerca de 600 Mbps.
> > >>
> > >> Inicialmente os bloqueios foram feitos nos servidores, agora
> > >> aplicamos
> > nos
> > >> roteadore de borda.
> > >>
> > >> Att,
> > >> ___________________________________________________________________
> > >> ____
> > >>
> > >>
> > >> -----Mensagem original-----
> > >> De: caiu-bounces em eng.registro.br
> > >> [mailto:caiu-bounces em eng.registro.br]
> > Em
> > >> nome de Raphael Cunha
> > >> Enviada em: sexta-feira, 28 de fevereiro de 2014 12:11
> > >> Para: Lista das indisponibilidades da Internet brasileira
> > >> Assunto: Re: [caiu] ATAQUE
> > >>
> > >> Obrigado pessoal, o backbone é da YIPTELECOM . Temos peering com
> > >> a
> > Algar
> > >> telecom , e com a speednet que faz nosso transporte para o ptt.
> > >>
> > >> Pelo que observamos os ataques estão vindo pelo link da algar telecom
> .
> > >>
> > >> Tenho uma pequena amostragem de trafego que conseguimos ontem e
> > >> pela analise feita pelo engenheiro de rede se trata de um synflood
> > >> .
> > >>
> > >> Vou pegar os dados e repassar aqui .
> > >>
> > >>
> > >> Em 27 de fevereiro de 2014 22:59, Gutenberg Campos
> > >> <gutenbergc em gmail.com>escreveu:
> > >>
> > >> > qual o backbone (empresa), só para aferirmos tendências
> > >> >
> > >> >
> > >> > Em 27 de fevereiro de 2014 22:02, Cleverson Zampieri <
> > >> > clever em clevercom.com.br> escreveu:
> > >> >
> > >> > > Instale um linux que vc terá todas as ferramentas à sua
> > >> > > disposição, incluindo gente aqui p te ajudar,
> > >> > >
> > >> > > Cleverson Zampieri
> > >> > >
> > >> > > > On 27/02/2014, at 13:51, Raphael Cunha <rc.288vdg em gmail.com>
> > wrote:
> > >> > > >
> > >> > > > Vou explicar a situação melhor , não disponho no provedor em
> > >> > > > que
> > >> > trabalho
> > >> > > > de ferramentas adequadas para isso, e nosso router de borda
> > >> > > > trabalha praticamente com pico de utilização de cpu e dessa
> > >> > > > forma não posso habilitar um debug na caixa , pois posso
> > >> > > > paralisar o
> > >> backbone.
> > >> > > >
> > >> > > >
> > >> > > >
> > >> > > >
> > >> > > > Em 27 de fevereiro de 2014 13:46, Rubens Kuhl
> > >> > > > <rubensk em gmail.com>
> > >> > > escreveu:
> > >> > > >
> > >> > > >> 2014-02-27 13:42 GMT-03:00 Raphael Cunha <rc.288vdg em gmail.com
> >:
> > >> > > >>
> > >> > > >>> Então pelo que estou verificando, estamos sofrendo ataques
> > >> > > >>> destinados
> > >> > > a 2
> > >> > > >>> blocos 186.216.192.0/24 e 193.0/24.
> > >> > > >>>
> > >> > > >>> Verifico uma taxa muito alta de pacotes sendo recebidos
> > >> > > >>> vindo do meu peering de internet, como eu sou somente
> > >> > > >>> transito para esses blocos
> > >> > que
> > >> > > >>> estão em clientes nossos, fica difícil filtar para quais
> > >> > > >>> portas ou de
> > >> > > >> qual
> > >> > > >>> origem o ataque está acontecendo.
> > >> > > >> Ser trânsito não significa não poder olhar os headers dos
> > >> > > >> pacotes para entender um problema...
> > >> > > >>
> > >> > > >>
> > >> > > >> Rubens
> > >> > > >> _______________________________________________
> > >> > > >> caiu mailing list
> > >> > > >> caiu em eng.registro.br
> > >> > > >> https://eng.registro.br/mailman/listinfo/caiu
> > >> > > >>
> > >> > > >>
> > >> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> > > >>
> > >> > > >> https://eng.registro.br/mailman/options/caiu
> > >> > > > _______________________________________________
> > >> > > > caiu mailing list
> > >> > > > caiu em eng.registro.br
> > >> > > > https://eng.registro.br/mailman/listinfo/caiu
> > >> > > >
> > >> > > >
> > >> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> > > >
> > >> > > > https://eng.registro.br/mailman/options/caiu
> > >> > > _______________________________________________
> > >> > > caiu mailing list
> > >> > > caiu em eng.registro.br
> > >> > > https://eng.registro.br/mailman/listinfo/caiu
> > >> > >
> > >> > >
> > >> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> > >
> > >> > > https://eng.registro.br/mailman/options/caiu
> > >> > >
> > >> >
> > >> >
> > >> >
> > >> > --
> > >> > AVISO LEGAL
> > >> > Esta mensagem é destinada exclusivamente para a(s) pessoa(s) a
> > >> > quem é dirigida, podendo conter informação confidencial e/ou
> > >> > legalmente privilegiada. Se você não for destinatário desta
> > >> > mensagem, desde já fica notificado de abster-se a divulgar,
> > >> > copiar, distribuir, examinar ou, de qualquer forma, utilizar a
> > >> > informação contida nesta mensagem, por ser ilegal. Caso você
> > >> > tenha recebido esta mensagem por engano, pedimos que nos retorne
> > >> > este E-Mail, promovendo, desde logo, a eliminação do seu conteúdo
> > >> > em sua base de dados, registros ou sistema de controle. Fica
> > >> > desprovida de eficácia e validade a mensagem que contiver
> > >> > vínculos obrigacionais, expedida por quem não detenha poderes de
> > >> representação.
> > >> >
> > >> > M.I.C.T.M.R.
> > >> >
> > >> > --
> > >> > Roosevelth Gutenberg Ferreira Campos
> > >> > _______________________________________________
> > >> > caiu mailing list
> > >> > caiu em eng.registro.br
> > >> > https://eng.registro.br/mailman/listinfo/caiu
> > >> >
> > >> >
> > >> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> >
> > >> > https://eng.registro.br/mailman/options/caiu
> > >> >
> > >> _______________________________________________
> > >> caiu mailing list
> > >> caiu em eng.registro.br
> > >> https://eng.registro.br/mailman/listinfo/caiu
> > >>
> > >>
> > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>
> > >> https://eng.registro.br/mailman/options/caiu
> > >>
> > >> _______________________________________________
> > >> caiu mailing list
> > >> caiu em eng.registro.br
> > >> https://eng.registro.br/mailman/listinfo/caiu
> > >>
> > >>
> > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>
> > >> https://eng.registro.br/mailman/options/caiu
> > >>
> > >
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> >
> >
> >
> > --
> > Andrio Prestes Jasper
> > Celular: (65) 8444 0040 / 8160 9761
> > site: http://www.lgmtecnologia.com.br
> > email: andrio.jasper em lgmtecnologia.com.br
> > msn: mascara_apj em hotmail.com
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
--
Andrio Prestes Jasper
Celular: (65) 8444 0040 / 8160 9761
site: http://www.lgmtecnologia.com.br
email: andrio.jasper em lgmtecnologia.com.br
msn: mascara_apj em hotmail.com
More information about the caiu
mailing list